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(§) Die Erfindung betrffft ein Verfahren zum Betreiben ei- 
nes Computersystems sowie einen Bytecode*Verifier und 
ein Compute rsystem. 

Mit dam erfindungsgemaRen Verfahren wird gepruft, ob 
ein auf ein Computersystem geiadenes Computerpro- 
gramm einen unzulassigen Zugriff auf eine Variable aus- 
ubt, das heii^t ob die Variable, bevor sie gelesen wird, in- 
itialisiert ist. Diese Prufung erfolgt vor der Ausfuhrung 
des Programms, so dalS beim Ausfuhren des Programms 
eine derartige Prufung nicht mehr durchgefiihrt werden 
mufi. 

Das erfindungsgemaRe Verfahren benotigt bei der Pru- 
fung des Programms wenig Speicherplatz und fuhrt den- 
noch eine vollstandige Prufung durch. Da die Prufung vor 
der Ausfuhrung des Programms erfolgt, wird die Pro- 
grammausfuhrung selbst erheblich beschleunigt, da hier- 
bei keine weitere Prufung notwendig ist. 
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Beschieibung 

Die Erfindung betrifft ein \ferfahren zum Betreiben eines Compuiersystems, einen Bvtecode-Vbrifier und dn Compu- 
tersystem. 

5 Aus der US 5,668,999 geht ein Verfahren zum Betreiben eines Computersystems hervor, das nach dem Laden eines 
CompuiaT)rogrammes und vor dem Ausfiihren des Computerprogrammes dieses uberpruft, ob es keine unzulassigen Da- 
tenverarbeiuingsvorgange ausruhrt. Hierzu ist ein sogenannter Byiecode- Verifier vorgesehen, der den Bytecode des ge- 
ladenen Computerprogrammes ubeq>ruft Der Vferifier enthalt einen virtuellen Stack zum voriibetgehenden Speichem 
von Typinformationen, die die Daten spezifizieren, die bei der Ausfuhrung des Programmes auf dem Stack liegen. Der 
10 Venficr umfaBt femer einen Stack-SchnappschuBspeicher mit einem SchnappschuBverzeichnis und einem Schnapp- 
schuBspeicherbereich zum Speichem des Zustandes des virtueUen Stacks an unterschiedlichen Punkten des Proeramm- 
ablaufes. 

Die Oberpnifung des Computerprogrammes erfolgt in zwei Phasen, wobei in der ersten Phase aUeZieladressen ermit- 
telt werden, auf die bedingte oder unbedingte Sprunge zeigen. In der zweilen Phase wild das Programm simuliert. Dabei 
werden sogenannte Schnappschusse des virtueUen Stacks zu jedcr Zicladressc des Sprungs eistcUt und in das Schnapp- 
schuBverzeichnis abgespeichert. Durch Vergleich der im SchnappschuBverzeichnis gespeicherten Informationen wird 
festgesteUt, ob der Stack in einer Art und Weise manipuUert wird. die zu einem Overflow oder Underflow fuhren konnte. 
SoUie erne derartige unzulassige Anderung verursacht werden, wird eine Fehlemieldung ausgegeben. 

Die Verwendung eines derartigen Bytecode- Verifiers erlaubt eine erhebliche Beschleunigung der Ausfiihrung des Pro- 
gramms. HerkommHche Interpreter zur Ausfuhrung eines Computerprogrammes enthalten Routinen zum Uberwachen 
des Stacks und zur Vermeidung eines Overflows bzw. Underflows. Diese Routinen wurden bei jedem auf den Slack zu- 
greifenden Befehl ausgefuhrt. Das Uberwachen des Stacks konnte deshalb bis zu 80% der Ausftihrungszeit eines Com- 
puterprogrammes in Anspruch nehmen. Die Verwendung des Bytecode- Verifiers ist besonders bei Schleifcn von Vbrteil, 
da lediglich die Befehle eines Schleifendurchgangs ein einziges Mai mit dem Bytecode- Verifier uberpriift werden, wo- 
hingegen bei einem herkommlichen Interpreter die dnzelnen Befehle in jedern Schleifendurchgang emeut uberpriift 
wordensind. o o t~ 

Der virtueUe Stack ist wie ein regularer Stack aufgebaut, auBer daB darin ansielle der tatsachlichen Daten und Kon- 

sianten Indikatoren gespeichert werden, die den jeweiligen Datentyp, wie z. B. Ganzzahl (I), lange Ganzzahl (L), ein- 

tach-genaue HieBkommazahl (F), doppelt-genaue HieBkommazahl (D), Byte (B), usw. darsteUen. 
-*o Bei diesem bekannien Verfahren wird auch ein virtueUes Feld der lokalen \^ablen angelegt. Dieses vinueUe Feld ist 

ahnlich wie der virtucllc Stack aufgebaut, das heiBt, daB in dem virtueUen Feld ledighch die Indikatoren der Datentypcn 

der in den tatsachlichen Speicherfeld abzuspeichemden Daten enthalten sind. 

Bei Spriingen im Programmablauf werden jedoch lediglich Schnappschusse des virtuellen Stacks miteinander veigli- 

chen. Anderungen im virtueUen Feld bleiben unberiicksichtigt, so daB aufgrund von Spriingen erzeugte Fehler beimZu- 
35 gnff auf das Feld der lokalen Variablen nicht festgesteUt werden konnen. Dies kann zu Fehlem im Programmablauf fiih- 

ren, die den Betrieb des Computersystems beeintrSchtigen und sogar zu einem Absturz des Computersystems fuhren 

konnen. 

In der US 5,66^99 ist der Bytecode- Verifier anhand der Computersprache OAK beschrieben. Aus OAK ist die Com- 
putcrsprachc Java entwickelt worden. Java™ wird wegen ihrer Plattformunabhangigkeit oft bei Intemetanwendungen 

40 verwendet, die von einem Server auf einen beliebigen CUent geladen werden, wobei der CHent ein Computersystem mit 
einem beliebigen, gebrauchlichen Betriebssystem sein kann. 

In der Java Vutual Machine Specification, Tim Lindholm und Frank YeUin, Addison-Wesley, 1997 (ISBN 0-201- 
63452-X), S. 128 ff ist ein Bytecode- Verifier beschrieben, der im wesentlichen demjenigen aus der US 5,668,999 ent- 
spncht, sich aber von diesem dadurch unterschiedet, daB mit den Schnappschussen nicht nur Kopien des virtueUen 

45 Stacks, sondem auch Kopien des virtueUen Feldes der lokalen Variablen erstellt werden. Bei einem bedingten od^ un- 
bedingten Sprung im Prograiiunablauf werden nicht nur die Schnappschusse der Slacks sondem auch die der virtueUen 
Fcldcr dor lokalen Variablen vcrglichcn, so daB auch cin durch einen nach cincm Sprung ausgcfiihrtcn Zugriflf auf das Va- 
riablenfeld erzeugter Fehler festgesteUt werden kann. 

^ Das ErsteUen einer voUstandigen Kopie des virtueUen Feldes der lokalen Variablen fiir die Zieladresse bei einem 
50 Sprung erzeugt eine erhebliche Datenmenge, die dementsprechend viel Speicherplatz verbraucht. Da OAK und Java 
nicht nur fiir Intemetanwendungen, sondem insbesondere fur embedded- Anwendungen mit kleinen Prozessorsystemen 
entwickelt worden sind, steht dieser erhebliche Speicheri)edarf der urspriinglichen Zielsetzung entgegen. Insbesondere 
Tiir Spezialentwicklungen von Java, wie z. B. JAVACARD, das eine spezieU fiir Chipkarten entwickelte Programmier- 
sprache ist, besteht ein erhebUcher Bedarf nach einer Verringerung des Speicherbedarfs. 

Der Erfindung Uegt deshalb die Aufgabe zugrunde, ein Verfahren der in der US 5,668,999 beschriebenen Art und 
Weise, emen Bytecode- Verifier und ein Computersystem derart weiterzuentwickeln, daB bei geringem Speicheibedarf 
dennoch eine sichere Ausfuhrung eines auf einem Computersystem geladenem Computerprogrammes gewahrleistel 

Die Aufgabe wird durch ein Verfahren mit den Mericmalen des Anspruchs 1, dutch einen Bytecode- Verifier mit den 
Merkmaleo des Anspruchs 9 und durch ein Computersystem mit den Merkmalen des Anspruchs 12 gelost VbrteiUiafte 
Ausgestaltungen der Erfindung sind in den Unteranspriicben angegeben. 

Das erfindungsgemafie Verfahren zum Betreiben eines Computersystems umfaBt folgende Schritte: 

a) Speichem eines Computerprogramms in einem Speicher des Computersystems, wobei das Computeiprogramm 
65 eine Folge von Bytecodes umfaBt, die Programmbefehle darsteUen, wobei die Programmbefehle in der Reihenfolge 

eines vorbestinmiten Programmablaufes bei der Ausfuhrung des Computerprogrammes abgearbeitet werden und 
auf Variablen zugreifen konnen, 

b) Prufen des in das Computersystem geladenen Computerprogrammes vor dem Ausfiihren des Computerpro- 
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gramms. ob die darin enthalienen Programmbefehle beim Ausfuhren einen unzulassigen Datenverarbeitunesvor. 
gang erzeugen wurden, und 

c) falls das Prufen des Computerprogramms keinen unzulassigen Datenverarbeitungsvoigang ergeben hat, wird die 
Ausfuhrung des Programnis erlaubl, ansonslen wird cine entsprechende Fehlermeldung ausgegeben. 

Das erfindungsgemaBe Verfahren zeichnet sich dadurch aus, daB beim Prufen des Computerprogramms die einzelnen ^ 
Programmbefehle m der Reihenfolge des Programmablaufes ubcrpriift werden, ob sie bei Direr Ausfuhrung auf eine Vk- 
riable zugreifen, bevor diese initialisiert worden ist. 

Der Erfinder hat erkannl, daB mit dem aus der US 5,668,999 bekannien Verfahren bei Sprungen im Program mablauf 
unzulassige Datenverarbeitungsvoigange nicht erkannt werden. In Fig. 3 ist ein Programmbeispiel gezeigt, das einen un- lo 
zulassigen Datenverarbeitungsvorgang aufweisu der von diesem bekannten Verfahren nicht erkanni wird. Bei der Dar- 
steUung m Fig. 3 ist in der linken Spalte der jeweilige Programmbefehl, in der mitUeren Spahe der Inhait des virtuellen 
Stacks und m der rechlen Spalte der Inhait des virtueUen Feldes der lokalen Variable dargesteUt. Die Programmbefehle 
smd aufeinanderfolgend numeriert. Mit dem ersten Befehl "goto 5" springt der Programmablauf auf den Befehl Nummer 
5 (aload 2). Hierbei wird der Inhait der Variable 2 des virtuellen Feldes auf den Slack geladcn. Die Variable 2 soUtc einen 
Indikator fiir emer Datentyp, wie z. B. "C" beinhalten. Da jedoch die Programmbefehle 2 bis 4 iibersprungen worden 
sind und mn dem Befehl 3 (astore 2) die Variable 2 zum erslenmal mit einem Wert belegt werden wurde ist die Variable 
bei der Ausfuhrung des Befehles 5 noch nicht mit einem Wert belegt. Das heiBu daB die Variable 2 bei der Ausfuhrung 
des Befehles 5 noch nicht initiaUsiert ist. Wurde das Programm ausgefiihrt werden, wiirde mit dem Befehl 5 die Viable 
2 gelesen werden, obwohl hier noch kein Wert zugewiesen worden ist. Dies ergibt einen undefinierten Zustand, da in un- 
zulassiger Weise nicht-vorhandene Dalen gelesen werden. Derartige Programmausfuhrungen konnen zu undefinierten 
Zusianden des Computersy stems fuhren oder sogar einen Absturz des gesamien Computersystems hervorrufen. 

Mit dem erfindungsgemaBen Verfahren wird gepriift, ob beim Zugriff auf eine Variable (Befehl Nr. 5) die Variable vor- 
her iniuahsiert worden ist. Bei der Priifiing werden die einzehien Befehle des Computerprogrammes in der Reihenfolge 
untereucht, mit der sie bei einer Ausfuhrung des Computerprogrammes ausgefiihrt werden, wobei bei einer Verzweigung '>5 
des Programmablaufes die einzelnen Programmzweige unabhangig voneinander untersucht werden. Nur wenn sicheige- 
siellusi, daB die Vanablen vor ihrem Zugriff initialisiert sind, das heifit mit einem Wert belegt sind, wird die Ausfiihrung 
des Programms erlaubt. Hierdurch werden ein unzulassiger Zugriff auf eine Variable sicher verhindert und undefinierte 
Zustande des Computersystems vermieden. 

Der Bedarf an zusStzlichem Speicherplatz eines Byiecode- Verifiers, der mit einer Routine zum PrUfen des Computer- 30 
programmes, ob vor den Zugriffen auf Variablen diese vorher initialisiert worden sind, versehen ist, ist wescntlich gerin- 
ger, als wenn em virtueUes Feld lokaler Variablen fiir jede ZielsteUe eines bedingten oder unbedincten Sprunces kopiert 
werden wiirde. o r c 

Mit dem erfindungsgemaBen Verfahren wird somit bei geringem Speicherplatzbedarf eine sichere Ausfuhrung eines 
auf emem Computersy stem geladenem Computerprogrammes gewahrleistet, da bei der Ermittlung von unzulassigen Da- 35 
tenverarbeitungsvorgangen auch unzulassige Datenzugriffe im Feld fur lokale Variablen festgesteUt weiden. 
Die Erfindung wird nachfolgend beiq>ielhaft naher anhand der Zeichnung beschrieben, in denen zeigen: 
Fig. 1 schematisch vereinfacht ein Computersystem, an welchem das erfindungsgemaBe Verfahren auscefUhrt werden 
kann. 

Fig. 2 das erfindungsgemaBe Verfahren in einem RuBdiagramm, 
Fig. 3 ein Programmbeispiel, 

Fig. 4 ein Ablaufschema des Programmbeispiels aus Fig. 3, und 
Fig. 5 ein weiteres Ablaufschema mit einer Verzweigung des Programmablaufes. 

In Fig. 1 ist ein Computersystem gezeigt, an dem das erfindungsgemaBe Verfahren ausgefuhrt werden kann Das Com- 
putersystem 1 weisl eine zenUale Recheneinheit (CTU) 2 auf, die in an sich bekannter Weise mit einem fluchtigen Spei- 
cher (RAM) 3 und eineni nichtfiuchiigen Speicher 4 zusaiiimen wirkt. Der nichtfiuchUge Speicher 4 besteht in der Rcgel 
aus cincr Fcstplattc, auf wclchcr die zum Bctrcibcn des Computersystems 1 notwcndigc Programme, wic z. B. das Be- 
Uiebssystem, und weiiere An wendungsprogramme gespeichert sind. Das Computersvstem 1 weist eine I/OEinheit 5 auf, 
mit welcher ein BenuLzer Daten in das Cromputersystem 1 eingeben kann bzw. an welcher dem Benutzer Daten angezeigt 
werden. Eine solche I/O-Hnheit 5 besteht in der Regel aus einer Tastatur, einem Bildschirm und einem Diskettenlauf- 
werk. MiUels eines Modems 6 kann eine Datenverbindung zu einem weiteren Computersystem heigestellt werden. Von 
diesem weiteren Computersystem konnen beispielsweise Programme auf das vorliegende Computersystem 1 geladen 
und im Speicher 3, 4 abgespeichert werden. 

^ Zur Uberpruftjng der auf das Computersystem 1 geladenen Computerprogramme ist ein Bytecode- Verifier an dem 
CcMupuiersystem 1 installiert. Der Bytecode- Verifier entspricht im wesentlichen dem aus der US 5,668,999 oder aus Ja- 
va Virtual Machine Specification, Tim Lindholm und Frank Yellin, Addison- Wesley, 1997 (ISBN 0-201-63452-X), 
Seiten 128 ff bekannien Bytecode- Verifier. Derartige Bytecode- Verifier werden insbesondere bei plattformunabhangigen 
Computersprachen wie OAK und Java eingesetzt. 

^findungsgemaB ist der Bytecode- Verifier derart ausgebildet, daB beim Prufen des Computerprogramms auch uber- 
pruft wurd, ob vor dem ZugriflF auf Variablen diese vorhra: bereits initialisiert worden sind, das heiBt, mit einem Wert be- 
legt worden sind, so daB beim ZugriflT auf die jeweilige Variable ein definierter "Wen gelesen werden kann und kein un- 
dennierter Zustand erzeugt wird. 

Nachfolgend wird die Routine zum PrUfen des Zugriffes auf die Variablen im Pseudo-Code datgestellt: 
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while isOK y\ (locVar £ numberVars) 
then if frontier = [] 

locVar := locVar + 1 
visited := 0 
frontier := [i] 
else first := car (frontier) 
rest := cdr (frontier) 
visited := {first} visited 
if initVar{P (first) ,lpcVar) 
then frontier := rest 
else if readVar(P( first) ^locVar) 
then isO;c := false 

else froT^tier seJect (possibleNext 
(first) r visited) * rest 

end- if 

end-if 
end- case 
end-while 



Tn Fig. 2 ist ein FluRdiagramm dargestellt, das die oben im Pseudo-Code dargestellte Routine zeigt. 

Die einzelnen Elemente dieser Routine haben folgende Bedeutung: 
35 isOk ist eine Boolsche Variable, die die Werte wahr und falsch annehmen kann. Sie wird vorab mit dem Wert wahr be- 
legt und falls bei der Ubeipriifung des Computerprogrammes ein unzulassiger Datenverarbeitunesvoieanc festeesteUt 
wird, mit falsch belegt. o © © e 

locVar ist dn ZShler, der mit ganzzahUgen positiven Zahlen belegt werden kann. locVar dient zum Zahlen der lokalen 
Vanablcn ernes entsprcchenden Fcldes. locVar wird mitder Anzahl z der Parameter initiaUsiert, die beim Aufruf des Pro- 
40 grammes an dieses ubergeben werden. Hierbei wird davon ausgegangen, daB die Parameter aufeinanderfolgend auf die 
Vanablen 1 bis z abgebildet werden. 

numberVars ist eine Funktion, die eine ganzzahlige Zahl ausgibt, die der Lange des Variablenfeldes entspricht. 
frontier ist eine Liste, die mehrere ganzzahlige Elemente beinhalten kann, wobei in dieser Liste Nummem von Befeh- 
len enthalten sind, die noch zu prufen sind. 

visited ist eine Menge von ganzzahUgen Zahlen, die die Nummem der bereits gepriiften Befehle beinhaltet. 
carfLisle) ist eine Funklion, die das erste Element einer Liste liefert. 

cdr(Listc) ist cine Funktion, die den Rest der Liste Ucfcat, wobci der Rest allc Hcmcntc der Liste bis auf das crstc Elc- 
ment umfaBt 

initVar (instr, n) ist eine Funktion, die ein wahr ergibt, falls der Befehl instr einen Wert in die lokale Variable mit der 
50 Nummer n schreibt, wodurch diese Variable initialisiert wird. 

readVar (instr, n) ist eine Funktion, die wahr eigibt, falls der Befehl instr die lokale Variable mit der Nummer n iiest 
und damit auf diese lokale Variable zugieiit. 



possibleNext ( 1 ) ist eine Funktion, die die Liste aUer Nummem der Befehle eigibt, die bei der Ausftihrung des Befehls 
mit der Nummer 1 auf diesen folgen konnen. Enthalt der Befehl 1 keine Spninganweisung, so kann auf diesen Befehl le- 
diglich em einziger Befehl folgen, so daB possibleNext ledigUch einen einzigen Wert ergibt. Enthalt der Befehl mit der 
Nummer 1 hingegen eine bedingte Spninganweisung, so konnen je nach ErfiiUung der Bedingung zwei unterschiedliche 
Befehle auf den Befehl mit der Nummer 1 folgen, wodurch die Funktion possibleNext dne Liste mit zwei Werten ergibL 
select a, s) ist eine Funktion, die die Elemente von der Liste 1 entfemt, die in der Menge s voiiianden sind 
11 * 12 ist eine Funktion, die die Elemente der Liste 12 an die Elemente der Liste 11 anhangt. 

Nachfolgend wird die Routine anhand der obigen DarsteUung im Pseudo-Code und anhand von Fig. 2 naher eriautert. 
Die Routine wird mit dem Schritl S 1 gestartet (Fig. 2). Danach wird abgefragt, ob isOk wahr ist und ob locVar kleiner als 
odo: glcich zu numberVars ist (S2). Wenn diese Abfrage wahr ergibt, gcht der Programmablauf auf den Schritt S3 uber. 
Ergibt die Abfrage den Wert falsch, so wird auf das Ende des Programmes (S4) verzweigt, da entweder alle lokalen Va- 
nablen getestet worden sind - wenn locVar groBer als numberVars ist - oder wenn der Wert von isOk falsch ist, das heiBt. 
wenn ein unzulassiger Datenverarbdtungsvorgang festgesteUi worden ist. In der oben angegebenen Routine wird diese 
Abfrage in Form einer if-, then-, end-if-Anweisung ausgefiihrt. 

Iin Schritt S3 wird abgefragt, ob die Liste frontier leer ist. Falls die Liste fionder leer ist, geht der Programmablauf auf 
den Schriu S6 iiber, mit dem der Zahler locVar um eins erhoht wird, die Menge visited mit der leeren Menge belegt wird 
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und die Liste frontier mit einer Liste, die alleine aus dem Element 1 besteht, belegt wird. Nach Ausfuhrung des Schrittes 
S6 geht der Programmablauf wieder atif den Schritt S2 uber, wobei dann im Schritt S3 die Abfrage den Wert falsch er- 
gibt, well die Lisle frontier ein Element beinhaltet. Der Programmablauf geht auf den Schritt S5 uben bei dem zu der 
Menge visited das jeweils erste Element der Liste frontier hinzugefugt wird, da in den nachfolgenden Piogrammschritten 
der dem ersten Element der Liste frontier entsprechende Befehl ubeipruft wird. 5 

In Schritt S7 wird abgefragt, ob der Befehl P(first) des Programmes P mit der Nummer first die lokale Variable mit der 
Nummer loc\^ initialisiert Diese Abfrage wird mittels der oben erlauterten Funktion init\^ ausgefiihrt. 1st das Ergeb- 
nis dieser Abfrage der Wen falsch, so geht der Progranmiablauf auf die Abfrage S8 iiber, mit der gepriift wird, ob der Be- 
fehl P(first) mit der Nummer first die lokale Variable mit der Nummer locVar liest, das heiBt auf sie zugreift'. Ergibt die 
Abfrage im Schritt S8, dafi der Befehl P(first) mit der Nummer first auf diese lokale Variable zugreift, so wird im Schritt lo 
S9 die Variable isOk mit dem Wert falsch belegt. 

Ergibt die Abfrage im Schritt S8 hingegen, daB der Befehl P(first) mil der Nummer first nicht auf diese lokale Variable 
zugreift, das heiBt daB der Wert der Abfrage falsch ist, verzweigt der Programmablauf auf den Schritt S 10, in dem die Li- 
ste frontier neu belegt wird. Die Belegung der Liste frontier erfolgt mit der Funktion possibleNext von first, die alle Pro- 
granunbefehle ermittelt, die auf den Befehl mit der Nummer first folgen konnen. Weist dieser Befehl einen bcdingten 15 
Sprung auf, so konnen auf diesen Befehl zwei unterschiedliche Befehle folgen, wohingegen bei einem Befehl ohne 
Spmng Oder mit einem unbedingten Sprung lediglich ein einziger Befehl folgen kann. Das Ergebnis der Funktion possi- 
bleNext wird mit der Menge. visited mittels der Funktion select verkniipft, so daB lediglich die auf den Befehl mit der 
Nummer first folgenden Befehle in der Liste frontier verbleiben, die noch nicht gepriift worden sind. Femer verbleiben 
alle restlichen Befehle, bzw. die darauf zeigenden Nummem, in der Liste frontier Mit dem Schritt S 10 werden somit der 20 
Liste frontier alle auf den aktuell gepriiften Befehl folgenden Befehle hinzugefugt, die noch nicht gepriift worden sind. 

Falls die Abfrage im Schritt S7 ergibt, daB der Befehl P(first) mit der Nummer first die lokale Variable mit der Nummer 
locVar initialisiert, das heiBt mit einem Wert belegt, ist das Ergebnis der Abfrage wahr und der Programmablauf geht auf 
den Schritt Sll uber, mit dem aus der Liste frontier das Element first ersatzlos entfemt wird und in der lediglich die ub- 
rigen Elemente (rest) verbleiben. Von den Schritten S9, SIO und Sll geht der Programmablauf wieder zuriick auf den '>s 
Schritt S2. 

Nachfolgend wird die Funktionsweise dieser Routine anhand des in Fig. 3 gezeigten Prograiimibeispieles naher erlau- 
terL 

Die Routine beginnt mit dem Schritt SI, wobei zu Beginn des Programms der Menge visited eine leere Menge und der 
Liste frontier eine leere Lisle zugewiesen wird und die Variable isOk mil dem Wert wahr belegt ist. Der Zahler locVar ist 30 
auf 1 gesetzt, da ein Parameter dem Programm iibergeben wird (1— *C; siehe Fig. 3). 

In dem Programmbeispiel gibtes zwei Variablen, weshalb im Schritt S2 derlnhalt von locVar, der zunachst 1 ist, klei- 
ner als das Ergebnis numherVars ist, das gleich 2 ist, weshalb die Abfrage locVar < numberVars den Wert wahr ergibt 
und da auch der Wert der Variable isOk wahr ist, geht der Progranmiablauf auf den Schritt S3 uber. Da die Liste fronder 
leer ist, geht der Programmablauf auf den Schritt S6 uber, in dem der Wen des Zahlers locVar um eins erhoht wird und 35 
somit 2 ist, der Satz visited wieder mit der leeren Menge belegt wird und die Liste frontier mit der Liste belegt wird, die 
als einziges Element die Zahl I aufweist. 

Eine emeute Abfrage im Schritt S2 ergibt wieder den Wert wahr, da isOk unverandert wahr ist und der Wert des Zah- 
lers locVar gleich der Anzahl der Variablen ist Die nachfolgende Abfrage im Schritt S3 ergibt den Wert falsch, da nun die 
Liste frontier das Element 1 beinhaltet. Der Programmablauf geht somit auf den Schritt S5 uber. Im Schriu S5 wird das 40 
erste Element von der Liste fronder, im vorliegenden Fall das einzige Element, namlich das Element 1 , der Menge visited 
hinzugefugt. 

Im darauffolgenden Schritt S7 wird mittels der Funktion initVar gepriift, ob der Programmbefehl mit der Nummer 1 
(goto 5) die Variable 2 initialisiert 

Die Abfrage im Schritt S7 ergibt fiir den Befehl 1 und die Variable 2 den Wert falsch, da die Variable 2 nicht mit dem 45 
Befehl 1 initialisiert wird. Der Progranmiablauf geht deshalb auf die Abfrage S8 ubei; mil der gepruft wird, ob der Befehl 
1 (goto 5) die Variable 2 licst Da dies nicht der Fall ist ist der Wert der Abfrage S8 falsch, womit der Programmablauf 
auf den Schritt SIO ubergeht Im Schritt S 10 werden der Liste frontier die auf den Befehl 1 folgenden Befehle im Pro- 
grammablauf zugewiesen, die noch nicht gepriift worden sind. Beim Programmbeispiel folgt auf den Befehl 1 der Befehl 
5 (aload 2), da der Befehl 1 (goto 5) einen Sprung auf den Befehl 5 ausfuhrt. 50 

Der Programmablauf geht wiederum uber die Schritte S2, S3 auf den Schritt S5 ubei; mit dem der Menge visited das 
Element 5 fur den Befehl Nummer 5 hinzugefugt wird. Die Abfrage im Schritt S7 ergibt daB der Befehl 5 (aload 2) nicht 
die Variable 2 initialisiert. Der Wert der Abfrage S7 ist somit falsch und der Progranunablauf verzweigt auf den Schritt 
S8. Die Abfrage im Schritt S8 ergibt, daB der Befehl 5 die Variable 2 Uest (aload 2), wodurch das Eigebnis der Abfrage 
S8 wahr ist und der Programmablauf auf den Schritt S9 verzweigt. 55 

Dieses Ergebnis der Abfrage im Schritt S8 bedeutet daB die Variable 2 mit dem Programmbefehl 5 gelesen worden ist 
ohne daB sie vorher initialisiert worden ist Hiermit wiirde beim Ausfuhren des Beispielprogrammes ein undefinierter 
Piogrammzustand entstehen. Dies ist in Fig. 3 mit dem Fragezeichen im Stack daigestellt Bei der Priifiing des Beispiel- 
programmes wird deshalb im Schritt S9 die Variable isOk mit dem Wert falsch belegt. Der Programmablauf geht nun auf 
dsa Schritt S2 uber. dessen Abfrage den Wert falsch ergibt, da die Variable isOk mit dem Wert falsch belegt ist. Der Pro- 60 
gramnmblauf verzweigt somit vom Schritt S2 auf den Schritt S4, womit die Routine beendet ist 

In Fig. 4 ist schematisch der Programmablauf des Programmbeispieles aus Fig. 3 gezeigt wobei jeder Befehl durch ei- 
nen Punkt mit der dazugehorigen Nummer daigestellt ist und von den einzebien Befehlen jeweils Pfeile zu dem im Pro- 
grammablauf folgenden Befehl zeigen. Mit der oben beschriebenen Routine wird die Prufung der Variablen 1 ubersprun- 
gen, da sie durch die Parametereingabe vorab initialisiert ist und deshalb loc\^ auf 1 gesetzt ist Die Befehle 1 und 5 65 
werden in der Reihenfolge des Programmablaufes abgearbeitet um eine ZugrifiFsverletzung auf die Variable 2 zu prufen. 
Da beim Befehl 5 eine derartige Zugriffsverletzung auftritt wird diese festgestellt und die weilere Prufung abgebrochen. 

Fig. 5 zeigt einen Programmablauf eines weiteren Programmbeispieles, das nicht im Detail beschrieben wird. Dieses 
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Prograinmbeispiel weist wiederum zwei Variablen auf, wobei beim Befehl 3 ein bedingter Sprung auf den Befehl 7 vor- 
gesehen ist Die Befehle 1, 2, 3 4 und 8 initialisieren weder eine der beiden \^ablen, noch grcifen sie darauf zu Der 
Progranmi^kuf ver^weigt nach dem Befehl 3 auf den Befehl 4 bzw. auf den Befehl 7 und die jeweiUgcn danach koi^ 
menden Befehle. Mu dem Befehl 5 (astore 1) wird die Variable 1 initialisiert und mit dem Befehl'7 (astore 2) wild die Va- 
nable 2 imuabsiert. Bei der Priifung dieses Programmbeispieles durch die oben angegebene RouUne wiid das Pro- 

i'^^llTf^ A''f^''^^':l^^.^''^:^'' Y"^^^^^ ' eeprua Hieibei weiden die einzelnen Befehle in der 
Reihenfolge 1, 2, 3, 4, 5, 7, 8, 9 gepruft. Nach der Abaibcitung des Befehles 3 werden in die Liste frontier die Befehle 4 
und 7 aufgenommen, da beide dem Befehl 3 folgen konnen. Zunachst werden die Befehle 4 und 5 abgearbeitet, wobei 
di^«- Zweig beim Befehl 5 abgebrochen wird, da hier die Variable 1 initialisiert witd. Danach werden die Befehle 7 8 
und 9 abgearbeitet. 

Bei der Prtifiing einer Zugriflfsverletzung bzgl. der Variable 2 werden in entsprechender Weise die Befehle in der Rei- 
henfolge 1 2, 3, 4, 5. 6 und 7 abgearbeitet, wobei wiederum die Verzweigung nach dem Befehl 3 beriicksichtigt wird und 
die Bearbeitung des mil dem Befehl 7 beginnenden Zweiges am Befehl 7 abgebrochen wird, da hier die V&riable 2 initia- 

lisiert wird, 

Mit der oben beschrie^nen RouUne werden somit die Programmbcfchle eines Ptogrammes in der Reihenfolge des 
Programmablaufcs gepriift, wobei bei einer \fer2weigung des Piogrammablaufes die einzelnen Zweige des Programm- 
festgeSuTw'iS *e entsprechende \&riable initiaUsiert oder eine Zugriffsvertetzung 

.iJ^'l^^ e^dungsgemSBe Routine eiganzter Bytecode- Verifier eimogUcht mit minimalem Speicherplatzbedarf 
eine vollstandige Pnlfung ernes auf einem Computersystem geladenen Computerprogramms. Es wird ledighch zusatzli- 
chcr Speicherplalz fur die Abspeicherung der Routine, der Menge visited und der Liste frontier benoUgt. Die Mence vi- 
sited ist aber hochstens so groB wie das zu prUfende Programm. Das gleiche gilt fllr die Liste fioniiet Iter Speicheiplatz- 
bcdarf ist K)mit wesenthch gennger als bei einem bekannten Bytecode-\ferifier, bei dem das virtueUe Fcld fOrdie lokalen 
Vanablen fur jede Sprungadresse kopiert wird. 

Der mit der erfindungsgemaBen Routine versehene Bylecode-Verifier kann in einem Computersvstem installiert auf 
einem Datentrager gespeichert oder Ober ein Datennetz auf ein Computersystem geladen werden. En derartiger Byte- 
code-Venfier wird zum Riifen des Progr^codes von Computeiprogrammen. insbesondere von welchen, die in einer 
plattformunabhangigen Sprache, wie z. B. OAK oder Java geschrieben sind, veruendet Dieser Ptogrammcode wird 
auch als Bytecode bezeichnet 

Die Erfindung kann folgendermafien zusammengefaBt werden. 
CoSpu^S-stem Bctreiben eines Computersystems, so wie einen Bytecode-Vfenfier und ein 

Mit dem erfindun|.sgemaBen Verfahren wird gepriifi, oh ein auf ein Computersystem geladenes Cx^mputerpmgramm 
einen unzulassigen Zugnff auf erne Vanable ausubu das heifit, ob die Variable bevor sie gelesen wird, initijilistert ist 
Diese Prufung erfolgt vor der Ausfuhrung des Programmes, so daB beim Ausfiihien des Ptogrammes eine derartige Prii- 
fung nicht mehr durchgefiihrt werden muB. 

vJil!"'*^"^'!^?/^^ ^^^"^ benb^t bei der PrUfung des Programmes wenig Speicherplalz und fUhn dennoch 
erne voUstandige Pnifiing durch. Da die PrOfung vor der AusfUhrung des Programmes erfolgt, wird die Ptogrammaus- 
fuhrung selbst erheblich beschleunigl, da hierbei keine watcn Prufung nolwendig ist 

Patentanspriiche 

1. Verfahren zum Betteiben eines Computersystems, das folgende Schritte umfaBt: 

a) Speichem eines Computerprogramms in einem Speicher (3, 4) des Computersystems (1), wobei das Com- 
puierprogramm eine Folge von Bytecodes umfaBt die Programmbefehle darstellen, wobei die Pttjgrammbe- 
fehle in der Reihenfolge eines vorbesliiiunUin Prognuiuiiablaufes bei der Ausruhrung des Couipulerprogniiii- 
mcs abgearbeitet werden und auf Variablen zugtcifcn kdimcn, 

b) Priifen des in das Computersystem (1) geladenen Computerptogrammes vor dem Ausfuhren des Compu- 
teiprogramms. ob die daiio enthaltenen Ptogrammbefehle beim Ausfiihien einen unzulassigen Datenverarbei- 
tungsvorgang eizeugen wurden, und 

c) faUs das Priifen des Computerprogramms kdnen unzulassigen Datenverarbeitungsvoigang ergeben hat 
wild die Ausfuhrung des Programms eriaubt ansonsten wird eine entsprechende Fehlermeldung ausgegeben 

dadurch gekeimzeichnet, daB beim Priifen des Cbmputeq)rogramms die einzelnen Programmbefehle in der Rei- 
henfolge des Progranmiablaufes OberprOft werden, ob sie bei Ihxer Ausfuhrung auf eine Viable zuareifen bevor 
diese iniiiahsiert worden ist e , « 

2. Verfahren zum Betreiben eines Computersystems nach Anspruch 1, dadurch gekennzeichn^ daB beim PWifen 
des Computerprogramms em viriueller Stack uberpriift wird. ob durch einen unzulassigen DatenverarbMtunesvor- 
gang cm Overflow oder ein Underflow des virtuellen Slacks erzeugt wird. 

3. Y^^ahren zum Betrrab«i dnes Computrasystems nach Anspruch 1 od^ 2, dadurch gekennzeichnet daB ein vir- 
tueUes Fcld lokaler Vanablen erzeugt wird, in dem ansteUe der Daten und Konstanten, die bei der Ausfuhrung des 
Computexpn^rammes in ein korrespondierendes tatsachliches Feld Idcaler eingetragen werden, Indika- 
toren geq)eichert werden, die den jeweiligen Datoityp darstellen. 

4. Verfahren zum Betreiben eines Computersystenas nach Anspruch 3. dadurch gekennzeichnet daB beim Priifen 
.J-^^f'^fP^S"^™™* fiir jede lokale Variable des Feldes aufeinanderfolgend gepruft wird, ob sie vor den Zu- 

gnrfen miuabsiert worden ist 

5. \ferfahrai zum Betreiben eines Computersystems nach einem der Anspruche 1 bis 4, dadurch gekennzeichnet 
daB bemn Prufen des Computerprogramms die Programmbefehle in der Reihenfolge des Progiammablaufes abge- 
tragt werden. ob durch den jeweiUgen Plogrammbefehl eine bestimmle Viable initialisiert wird (S7) und 
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falls diese Abfrage ergibt, daB die Variable durch diesen Programmbefehl nicht initiaiisiert wird, abgefragt wirdL ob 
durch diesen Programmbefehl auf diese Variable zugegriffen wird (S8), und 

falls diese Abfrage ergibu daB auf diese Variable zugegriffen wird, eine Fehlemeldung ausgegeben und die Aus- 
fiihrung des Compuierprogramms nicht erlaubt wird (S9). 

6. Verfahren zum Betreiben eines (Jomputersystems nach Anspruch 5, dadurch gekennzeichneU da6 wenn sich bei 
der Abfrage nach dem Zugriff auf die Variable ergibt, daB auf die Variable nicht zugegriffen wird, alle Programm- 
befehle ermittelt werden, die auf den soeben gepriiflen Programmbefehl im Progranmiablauf folgen konnen, und cr- 
mittelt wird, ob einer oder mehrere dieser Programmbefehle schon gepriift worden sind (SIO), und falls sich hierbei 
einer oder mehrere ungeprufte Programmbefehle eigeben, werden diese gemaB den Verfahrensschritten im An- 
spruch 5 gepriift. 

7. Verfahren zum Betreiben eines Computersystems nach Anspruch 6, dadurch gekennzeichnet, daB wenn sich kein 
ungepriifter Programmbefehl ergibt, das Computerprogramm nach der nachsten Variablen (Sll) gepriift wird und 
faUs alle Variablen gepriift worden sind, wird der Priifvorgang beendet. 

8. Verfahren zum Beu-eiben eines Computersystems nach einem der Anspruche 5 bis 7, dadurch gekennzeichnet, 
daB wenn sich bei der Abfrage, ob durch den je wciligen Programmbefelil eine bcstimmte \kriable initiaiisiert wird, 
ergibt, daB die Variable durch den Programmbefehl initiaiisiert wird, abgefragt wird, ob weitere Programmbefehle, 
€iie nicht auf den soeben gepriiften Programmbefehl folgen, auf diese Variable gepriift werden miissen. und eigeben 
sich derartige weitere Programmbefehle, so werden diese gemaB den Verfahrensschritten im Anspruch 5 geprufu 
ansonsten wird das Computerprogramm nach der nachsten Variablen gepriift und falls alle Variablen gepriift wor- 
den sind, wird der Priifvorgang beendet. 

9. Bytecode- Verifier, der ein auf ein Computersystem geladenes Progranun auf unzulassige Datenverarbeitungs- 
vorgange vor seiner Ausfuhrung prUft, dadurch gekennzeichnet, daB der Bytecode- Verifier deran ausgebildet ist, 
daS die Progranmibefehle des Compuierprogramms in der Reihenfolge des Programmablaufes iiberpi-uft werden 
ob sie bei ihrer Ausfuhrung auf eine Variable zugreifen, bevor diese initiaiisiert wird. 

10. Bytecode- Verifier nach Anspruch 9, dadurch gekennzeichnet, daB der Bytecode- Verifier zur Ausfuhrung des 
Verfahrens nach einem der Anspruche 1 bis 8 ausgebildet ist. 

1 1 . Bytecode- Verifier nach Anspruch 9 oder 10. dadurch gekennzeichnet, daB er auf einem Datenttager gespeichert 
ist. 

12. Computersystem mil 

einem Speicher zum Speichem eines Compuierprogramms, wobei das Computerprogramm eine Folge von Byteco- 
des umfafit, die Programmbefehle darstellen, wobei einige Programmbefehle auf Variablen zugreifen konnen, 
einer Datenverarbeitungseinheit zum Ausfuhren von im Speicher gespeicherten Programmen, wobei 
ein Bytecode- Verifier im Speicher gespeichert ist. der ein in den Speicher des Computersystems geladenes Pro- 
granun auf unzulassige Datenverarbeitungsvoigange vor seiner Ausfuhrung priift, 

dadurch gekennzeichnet, daB der Bytecode- Verifier derart ausgebildet ist, daB das Computerprogramm uberpriift 
wird, ob bei seiner Ausfiihrung vor den moglichen Zugriffen auf Variablen diese jeweils initiaiisiert worden sind. 

13. Computersystem nach Anspruch 12, dadurch gekennzeichnet, daB der Bytecode- Verifier gemaB den Ansprii- 
chen 9 bis 11 ausgebildet ist 
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:= (first) visited 



iQcVar : 


= locVar + 1 


visited : 


-0. 


frontier 


:=I1) 




watir 



S9 



isOk:= falsch 
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Befehl 

1 goto 5 

2 aioad 1 

3 astore 2 

4 goto 9 

5 aload 2 

6 getfield x 

7 pop 

8 goto 2 

9 return 
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